Az elektronikus (digitális) aláírásról szóló 2001. évi XXXV. törvény leszögezi, hogy az elektronikusan aláírt dokumentum meghatározott feltételek
Hiteles névjegy
A törvény három biztonsági fokozatot különböztet meg. Egyszerű elektronikus aláírás például egy elektronikus levél alá gépelt név. A fokozott biztonságú aláírásnak viszont már alkalmasnak kell lennie az aláíró azonosítására is: egyedülállóan hozzá köthetőnek kell lennie. Csak olyan eszközzel hozható létre, amely egyes-egyedül az aláíró befolyása alatt áll, és oly módon kell kapcsolódnia az aláírt dokumentumhoz, hogy azon az aláírás utáni módosítások mind érzékelhetők legyenek.
A legmagasabb szintű követelményeknek a minősített elektronikus aláírás kell, hogy megfeleljen: megfelelő technológiájú aláírás-létrehozó eszközzel (BALE) kell előállítani, és a hozzá tartozó tanúsítványt – minősített tanúsítványként – minősített hitelesítésszolgáltatónak kell kibocsátania. Ez a tanúsítvány igazolja, hogy a hitelesítésszolgáltató által előzetesen ellenőrzött személyazonosságú aláíró valóban az, akinek mondja magát.
A három biztonsági fokozathoz természetesen három különböző jogi hatály tartozik. Az egyszerű aláírás bizonyítási eszközként való felhasználhatósága nem vonható kétségbe csupán azért, mert elektronikus formában létezik. A fokozott biztonságú aláírás bizonyító ereje megegyezik az egyszerű írásba foglalt magánokirattal, vagyis a hitelességét annak kell bizonyítania, aki hivatkozik rá. A minősített biztonságú aláírással ellátott okiratot viszont bizonyító erejű magánokiratnak kell tekinteni, vagyis a benne foglalt nyilatkozat megtételét mindaddig valódi és hamisítatlan, amíg ki nem derül ennek az ellenkezője. A bizonyítás terhét annak kell viselnie, aki az okirat valódiságát és hamisítatlanságát kétségbe vonja.
Springel János, a Matáv üzleti megoldások üzletágának kompetenciamenedzsment osztályvezetője szerint az elektronikus aláírásra vonatkozó törvény ma már megfelelő feltételeket szab ugyan a működéshez, a digitális aláírás szélesebb körű elterjedését egyéb jogszabályok nehezítik. Például a számviteli törvény vagy az adózás rendjéről szóló törvény, mert ma nem teljesíthető feltételeket írnak elő. Ezzel meggátolják az alkalmazás bevezetését, gyakorlatba való átültetésé. Springel János úgy véli, hogy érdemes lenne a fokozott biztonságú tanúsítványok körén belül szétválasztani a biztonsági szint tekintetében lényegesen különböző, “csak szoftveresen létező” (böngészőbe telepített), illetve a biztonságos hordozón (intelligens kártyán) elhelyezett aláírásokat.
Némiképp hasonlóan vélekedik Rózsahegyi Zsolt, az elektronikus aláírásokhoz szükséges tanúsítványok kibocsátásával 1997 óta foglalkozó Netlock Kft. ügyvezető igazgatója. Véleménye szerint az elektronikus aláírásról szóló törvény letette ugyan a vonatkozó szabályozás alapjait, de számos ponton módosítani kellene a meglevő, jellemzően papírformán alapuló jogi szabályozást. Sőt, ki is kellene egyensúlyozni, mert némely területek túlzottan, mások kissé elnagyoltan vannak szabályozva, sőt egyes területekre még egyáltalán nem született meg a szükséges jogszabály.
Az utóbbi esetkörre Rózsahegyi Zsolt az elektronikus dokumentumok archiválását említi példaként. Már hivatkozik rá a számviteli törvényt módosító törvény, de még nem fogadták el. Jövőre azonban bővül az elektronikus aláíráshoz kapcsolódó alkalmazások köre: az Országgyűlés elfogadta az elektronikus cégjegyzésről szóló törvényt. 2004-ben elkezdődhet a gyakorlatba való átültetés, és a bevezető időszak után, már 2005-ben várhatóan erősen nő majd a felhasználók száma.
Idegenkedés az új eljárástól
A tapasztalatok szerint a lehetséges célközönség – az üzleti világ – tájékozott és fogékony a digitális aláírással kapcsolatos új információk, megoldások iránt. Springel János szerint kellően tájékozottak az informatikai szakemberek is – a szolgáltatási oldalon éppúgy, mint a felhasználói oldalon –, inkább csak a közigazgatás némelyik területén tapasztalható tájékozatlanság. Valóban csak némelyiken, mert például a különféle minisztériumok szabályozással foglalkozó szakemberei megszerezték a szükséges ismeretek. A tájékozatlanság, ellenérzés és bizalmatlanság sajnálatos módon éppen azokon a szakmai területeken van jelen, ahol az elektronikus aláírás alkalmazása fontos előrelépés lenne.
Aszimmetrikus kriptográfia
Elektronikus aláírás és digitális tanúsítvány együtt alkotja a nyilvános kulcsú titkosítási eljárások infrastruktúráját; ezt az infrastruktúrát PKI technológiának is nevezik. Az alapja az aszimmetrikus kriptográfia: egy nyilvános és magánkulcsból álló kulcspár használata. A magánkulccsal titkosított adatokat kizárólag a hozzá tartozó nyilvános kulccsal lehet visszafejteni. A “kulcs” voltaképpen egy meghatározott méretű, valakinek a tulajdonában levő egyedi bináris azonosító adat; biztonsági szolgáltatásai jóval erősebbek annál, mint amit az elavult PIN-kódok kínálnak.
Elektronikus aláíráskor az aláírandó dokumentumból egy számsor (úgynevezett ellenőrző összeg) képződik – egyfajta “ujjlenyomat” –, ezt minden változtatás, még egy szóköz beszúrása is megváltoztatja. A lenyomat meghatározott hosszúságú, általában 128 vagy 160 bites adatsorozat; az aláírás-készítő algoritmus ebből, illetve a magánkulcsból készíti el az elektronikus aláírást.
Felhasználói szempontból a beérkezett elektronikus aláírás ellenőrzéséhez az aláírásra, az azzal hitelesített szövegre, az aláírást ellenőrző algoritmusra, a nyilvános kulcsra és a lenyomatot alkotó algoritmusra van szükség. Először a szöveg lenyomatát kell elkészíteni, majd az aláírás-ellenőrző algoritmussal a nyilvános kulcsra támaszkodva visszafejteni az aláírást. Ha a kapott lenyomat megegyezik a szöveg lenyomatával, akkor az irat hitelesnek tekinthető: a feladó valóban az, aki az eredeti dokumentumot aláírta, és az is biztos, hogy a szöveg nem változott a digitális aláírás elkészítése óta.
Bár egyáltalán nem szakmai részletességgel vázoltuk fel az aszimmetrikus kriptográfia működését, a felhasználó a gyakorlatban még ennyit sem érzékel ennek a folyamatnak az összetettségéből.
Említettük a digitális tanúsítványokat is: ezek a kulcs birtokosára, a kibocsátóra, a kulcs használatára és az érvényességre vonatkozó egyedi leírások, kibocsátásukban jut szerephez a CSP szolgáltatói infrastruktúra, vagyis a hitelesítő központ (CA), illetve a regisztrációs központ (RA) és ezek szolgáltatásai. A hitelesítő központ szerepe a kulcspár előállítása, a kártya megszemélyesítése (ha a kulcspár magánrészét kártyán tároljuk), a tanúsítványok kiadása, visszavonása, valamint ezek nyilvántartása és nyilvánosságra hozatala. A regisztrációs központ funkciója pedig a felhasználók azonosítása és regisztrálása, a tanúsítványkérések, illetve a visszavonási kérelmek kezelése.
Kovács Árpád, a Kopint-Datorg Rt. általános informatikai részlegének igazgatója – ez a cég fejlesztette ki Magyarországon az első olyan tanúsíttatott szoftvertermékeket, amelyekkel fokozott, majd minősített biztonságú aláírás alkotható – azt hangsúlyozta, mennyire nem köztudomású még, hogy a rendszer biztonságosságához, illetve minősítettségéhez a szoftvernek is biztonságosnak, illetve minősítettnek kell lennie. S nem is a törvény “betűje”, hanem a szakmai követelmények szerint.
Állami szerepvállalás?
A céges szempontokon túl fontos kérdés, hogy az elektronikus aláírás és a kapcsolódó szolgáltatások hogyan kapcsolódnak a magánszemélyekhez. Kovács Árpád szerint az otthoni felhasználó először valamilyen cég révén jut a szükséges eszközökhöz, intelligens kártyához, kártyaolvasóhoz, tanúsítványhoz. A magánember akkor szánja majd rá magát ez irányban saját befektetésre, ha lesz elegendő mennyiségű magánalkalmazás. Kovács Árpád szerint ez az idő 3-5 év múlva jön el, de ha az állam – esetleg valamilyen igazolvánnyal összefüggésben – eleve megadná ezt a technológiát, akkor hamarabb, 2-3 éven belül is alkalmazni fogják.
A cégeknél persze sokkal hamarabb lesznek olyan alkalmazások, amelyek egymagukban is megtérülővé tehetik ezt a technológiát. Springel János szintén megemlítette, hogy egyre több alkalmazási lehetőség nyílik meg a magánszféra előtt, hiszen a nyugdíjpénztárak, egészségpénztárak várhatóan kínálnak majd a tagoknak elektronikus aláíráson, intelligens kártyákon alapuló szolgáltatásokat, s ilyen lesz a készülő munkaügyi kártya is.
Nyitás a lakossági piacon
Springel János úgy véli, a magánszférában a széles körű elterjedéshez az kellene, hogy kapcsolatot lehessen tartani a közigazgatással – elektronikusan is alá lehessen írni az adóbevallást –, illetve az önkormányzati szervekkel, lehetővé kellene tenni az elektronikus kapcsolattartást, az elektronikus ügyintézést az egyéb hatósági eljárásokban.
Rózsahegyi Zsolt elmondása szerint a Netlock már egy ideje részt vesz olyan projektekben, amelyek a lakosságnak a hagyományos papír alapú forma mellett vagy helyett bizonyos területeken lehetőséget adnának az elektronikus ügyintézésre is. Ez a fajta kultúraváltás bizonyára nagy költségmegtakarítással járna, és emelné a szolgáltatások színvonalát. Érdekességképpen megjegyezte azt is, hogy a gyártók a szoftverek integritásának megőrzésére ezeknek a szoftvereknek a többségét már elektronikusan aláírják; a végfelhasználók tehát sokszor úgy használják az elektronikus aláírás technológiáját, hogy nem is tudnak róla.
